入侵防御系统的实现与核心技术浅析.docVIP

入侵防御系统的实现与核心技术浅析 　　摘 要 文章首先对防火墙和入侵检测系统的特征进行必要说明，而后在此基础上指出，二者融合而成的入侵防御系统，是未来发展的重点方向，并且结合实际技术成熟特征，就入侵防御系统的核心技术要点进行了深入讨论。对于切实加深入侵防御系统的技术认识有着一定的积极价值。 　　关键词 IPS；入侵防御系统；技术；发展 　　中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2015）145-0119-01 　　在当前信息环境之下，数据安全是共同关注的重点。与之对应的诸多安全技术，虽然经过多年的发展已经日趋成熟，但是从根本上看，不同种类的技术都会存在一定的薄弱环节，因此多种技术的交叉融合，对于当前网络而言就显得至关重要。 　　1 入侵检测系统的形成与架构 　　在多技术边缘融合的领域中，防火墙和入侵检测技术作为两种常见且行之有效的安全手段，其融合价值不容忽视。 　　首先从技术特征的角度看，防火墙是设置在网络安全区域外围的一系列组件集合，能够依据网络管理工作人员的设定执行相应的安全策略，并且对出入安全网络环境中的数据进行监控。虽然工作方式相对而言较为被动，但是对于外部攻击有着较强的抵御能力。作为网络环境中重要的隔离设备，其被动特征仍然决定了它在某些方面的表现不足。例如防火墙无法有效处理来源于网络安全区域内部的攻击发生，并且性能方面的限制决定了防火墙难以实现面向内部网络环境的实时监控。而另一个不容忽视的方面在于，入侵者完全可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门。 　　而入侵检测系统（IDS，Intrusion Detection Systems），本质上是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。但是面对实际的网络环境，IDS同样存在一定的不足，虽然其工作特征具有一定的主动性，但是其面向网络环境中的传输行为展开分析的过程中，作为依据和判断准则的模型有效性成为IDS的核心问题，而对于相关模型的建设，则成为IDS系统进步的瓶颈问题。 　　在这样的背景之下，将防火墙与IDS系统相融合形成更具针对性的入侵防御系统（IPS，Intrusion Prevention System）就成为了当前网络安全技术的突出发展特征。IPS在IDS的基础上发展而来，但是在网络部署方面存在较大差异，IPS系统更多会以在线形式安装在被保护网络的入口上，在实现对于网络边界监控的同时，不放松面向网络环境内部的数据传输行为监测。通常而言，IPS以嵌入式方式实现，能够实时实现对于可疑数据包的阻断，并对该数据流的剩余部分进行拦截；在此基础之上具有一定的分析能力，可以依据数据包特征展开深入分析，判断攻击类型和对应的安全策略，并且实现对于自身模型的优化。与此同时，一个工作状态良好的IPS系统，还应当具备高效的处理能力，确保能够在网络边界环境上保持一定的运行效率，避免发生包括数据拥堵等在内的网络效率下降等问题。 　　2 IPS系统核心技术浅析 　　对于IPS的发展而言，由于其本身的嵌入串联特征，决定了其自身极有可能成为网络效率环境中的瓶颈所在。网络技术的日渐发达以及从应用层面的不断成熟，都对IPS的应用提出了更高的要求，当前的问题已经不仅仅是如何有效检出入侵威胁，还必须的保证效率的基础之上确保对于安全威胁检测的准确性，这几个方面的工作特征，直接关系到IPS系统的效率，并且进一步影响到网络的整体工作特征。 　　基于这样的需求考虑，当前在IPS发展领域，有三个方面的技术得到了广泛的关注，并且成为进一步影响IPS系统深入发展的核心问题。 　　2.1 千兆处理能力 　　千兆处理能力本身对于IPS系统而言，意味着更为高速高效的入侵判断，更少的数据拥塞故障发生。从根本上看，就是IPS拥有的线速处理能力体现，这不仅仅是要求IPS系统能够实现与千兆位网络的兼容，能够实现有效接入，更加重要的问题在于，IPS系统需要在千兆位网络环境下实现良好的数据过滤功能，配合千兆位网络实现同步工作。当前的网络入侵检测以及防御系统多基于x86架构，但是从根本上看，x86架构本身并不能达到千兆处理能力，因此必然会形成对于IPS发展的瓶颈。具体而言，CPU处理能力以及，I/O、系统总线和内存的速度和协议开销等方面，都会成为x86架构对于IPS系统的瓶颈。尤其是CPU的处理能力方面，由于其本身只是为了通用的功能而设计，因此在IPS系统中并不存在任何优势，常常会在实现IPS系统工作的时候导致内存和总线的访问冲突，从而造成整体性能下降的状况发生。基于此种状况，当前在IPS领域的研究工作突出体现在网络处理器NPU的研发方面，其核心价值